存取容器深入解析中的 Syslog 資料
容器深入解析提供從 Azure Kubernetes Service (AKS) 叢集中的 Linux 節點收集 Syslog 事件的功能。 這包括從控制平面元件 (例如 kubelet) 收集記錄的功能。 客戶也可以使用 Syslog 來監視安全性和健康情況事件,通常是將 syslog 內嵌至 Microsoft Sentinel 等 SIEM 系統中。
必要條件
您必須使用在容器深入解析中設定和篩選記錄集合中的指導,為您的叢集啟用 Syslog 集合。
主機節點上應提供連接埠 28330。
確定叢集中已啟用hostPort功能。 例如,Cilium Enterprise 預設未啟用 hostPort 功能,並防止 syslog 功能運作。
內建活頁簿
若要快速取得 syslog 資料的快照集,請利用下列其中一種方法使用內建的 Syslog 活頁簿:
注意
如果您為叢集啟用容器深入解析 Prometheus 體驗,將無法使用 [報表] 索引標籤。
容器深入解析中的 [報表] 索引標籤。 在 Azure 入口網站中瀏覽至您的叢集並開啟 [深入解析]。 開啟 [報表] 索引標籤,並找出 Syslog 活頁簿。
在 Azure 入口網站中 AKS [瀏覽至您的叢集] 中的 [活頁簿] 索引標籤。 開啟 [活頁簿] 索引標籤,並找出 Syslog 活頁簿。
Grafana 儀表板
如果您使用 Grafana,可以使用適用於 Grafana 的 Syslog 儀表板來取得 Syslog 資料的概觀。 如果您建立新的 Azure 受控 Grafana 執行個體,預設可使用此儀表板。 否則,您可以從 Grafana 市集匯入 Syslog 儀表板。
注意
您需要在包含 Azure 受控 Grafana 執行個體的訂用帳戶上具有 [監視讀取器] 角色,才能從容器深入解析存取 syslog。
記錄查詢
Syslog 資料會儲存在 Log Analytics 工作區上的 Syslog 資料表中。 可以在 Log Analytics 中建立自己的記錄查詢,以分析此資料或使用任何預先建置的查詢。
您可以透過 [監視器] 功能表中的 [記錄] 功能表開啟 Log Analytics,以存取所有叢集的 Syslog 資料,或從 AKS 叢集的功能表存取單一叢集的 Syslog 資料。
範例查詢
下表提供擷取 Syslog 記錄的不同記錄查詢範例。
查詢 | 描述 |
---|---|
Syslog |
所有 Syslog |
Syslog | where SeverityLevel == "error" |
所有具有錯誤嚴重性的 Syslog 記錄 |
Syslog | summarize AggregatedValue = count() by Computer |
依電腦分類的 Syslog 記錄數 |
Syslog | summarize AggregatedValue = count() by Facility |
按設施分類的 Syslog 記錄數 |
Syslog | where ProcessName == "kubelet" |
來自 kubelet 流程的所有 Syslog 記錄 |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
來自 kubelet 流程的 Syslog 記錄及錯誤 |
下一步
設定之後,客戶可以開始將 Syslog 資料傳送至所選的工具
在此共享這項功能的意見反應:https://forms.office.com/r/BBvCjjDLTS